我想知道,允许Chrome和Firefox a)记住密码b)同步密码有多明智?我的直觉告诉我,不是不是中间人可以拦截它们,而是Google和Mozilla自己可以在服务器上或借助浏览器看到它们。当然,他们说不会,并且密码以加密方式存储,但是我们可以确定吗?也许浏览器本身会秘密将密码发送给Google和Mozilla。

我最近才刚开始使用keepass,因此至少我有一个地方将密码存储在本地,因为以前我只将密码存储在浏览器中并进行了同步。现在我不应该再同步它们了。

评论

我认为KeePass是必经之路。 .kdbx如果没有密钥,则无法解密文件。因此,我将我的KeePass数据库保存在Dropbox中,以便在我的设备之间同步它们。

@marstato,但我的问题不是关于keepass

那就是为什么我写评论:)回答您的问题:不。不要过多地信任您的浏览器。浏览器供应商的主要业务是创建显示网页的软件;不安全。因此,不要将它们与安全性相关的任务信任。

@marstato:“…可安全显示网页的软件”。我们可以期望他们对安全有所了解,并且我们已经信任他们的客户端安全实现。当然,他们的密码存储安全性是另一回事。

@Tyzoid,只要chrome可以解密存储的密码,而无需用户在每次启动或每次访问密码存储区时都输入密码,则密码存储区的安全性实际上与纯文本相同。

#1 楼

进一步说明@ d1str0所说的内容:如果浏览器的创建者想要窃取您的密码,则在您每次输入密码时将其发送到制造商控制的服务器都是微不足道的-无需麻烦告诉您关于同步过程,或提供记住密码的信息。默认情况下,所有浏览器都会发送一定程度的使用情况数据,通常是崩溃报告和更新检查,它们可以轻松隐藏密码和用户名数据。

但是,如果发现有任何浏览器正在这样做,会对该制造商表示强烈抗议-请查看在Windows 10发布后启用了报告功能后针对Microsoft的愤怒。

Keepass和Password Safe都是开源的(因此,如果有足够的编程知识, ,以及值得信赖的编译器,您可以确定他们正在按照他们所说的去做,没有别的事-足够的编程知识可能很高级。在这两种情况下,只要未提供安全密码,加密密码文件都应该可以安全同步,甚至可以同步到第三方源。据我们所知,在没有适当密钥(安全密码)的情况下破解AES(Keepass)或TwoFish(密码安全)会导致暴力破解。

Lastpass和1Password都要求您信任开发人员,默认情况下同步到远程位置。从理论上讲,它们是安全的,但是没有任何明显的方法可以检测其中与存储相关的漏洞。从逻辑上讲,如果您担心Chrome或Firefox窃取密码,则相同的参数适用于这些应用程序。

我个人使用提到的基于云的密码服务之一-考虑了风险和收益,并平衡了我愿意接受的安全性与该服务的易用性,并决定了我的用例,这是可以接受的。您可以接受的风险可能会有所不同-例如,如果您认为AES容易受到攻击,那么,在使用不同加密算法的加密USB密钥上保持Keepass安全可能是可行的选择,但是将文件上传到第三方服务可能是可行的选择对您来说“太冒险了”。

评估了选项之后,可以得出您认为安全的东西。但是,许多安全专业人员已经考虑了此问题,并且通常建议使用密码安全类型的软件,而不是允许浏览器记住密码,这仅仅是因为浏览器曾经很糟糕-他们允许没有主密码的访问,并且使用了较差的加密方法。其中一些问题已得到解决,但旧习惯很难解决!

评论


非常真实但是,除非您有足够的知识来审核完整的代码库,否则您将无法确定它们不会泄露数据。密码保险箱也是如此,但是其中的代码要少得多。

–马修
16 Mar 9 '16 at 11:02

@PyRulez Google Chromium是开源的,因此您可以自己构建它。 Google Chromium本质上是没有封闭源代码的Google Chrome。

– BooleanCheese
16 Mar 9 '16 at 14:39

@アレックス:每当您以表格形式输入密码时,便会将密码托付给浏览器。浏览器是对包含您的密码的HTTPS请求进行加密的,因此,无论是否存储它,在加密之前很容易让它窃取它。如果您对浏览器足够信任,可以在其中输入密码,那么您已经相信他们的制造商(Google和Mozilla)不要尝试窃取密码。但是,这并不意味着您必须信任它们,才能正确保护密码以防盗窃。他们的存储软件可能存在缺陷...

– Matthieu M.
16-3-9在16:42



@PyRulez不,但是我觉得有一个开源选项值得一提(尽管我认为密码同步功能可能不是Chrome的一部分)。

– BooleanCheese
16 Mar 9 '16 at 16:58

@アレックス这就是为什么您不信任某事的原因,因为仅是从源代码编译而来

–詹森
16 Mar 9 '16 at 18:11



#2 楼

如果您担心Chrome或Firefox会窃取密码,那么您一开始就不会将它们用作网络浏览器。

Keepass或LastPass之类的应用程序可以使用主密码来加密您的密码。

如果您不使用主密码,则您的网络浏览器可以随时对您的密码进行解密。

由您决定所需的安全级别。

评论


如果Chrome或Firefox将密码存储在位于美国的中央服务器上,则政府可以简单地传唤它们。这与单纯使用Chrome或Firefox进行正常浏览所带来的风险大不相同。

–基督徒
16 Mar 9 '16 at 10:06

您可以在Firefox中设置一个主密码,该密码用于加密您保存的密码,就像LastPass / Keepass一样。

– Phil K
16-3-9在11:16



@アレックス您一直在问我们是否应该完全信任Chrome和Firefox。就像d1str0所说的,如果您不信任它们,那么就根本不应该将它们用作浏览器。您确实意识到,如果他们打算恶意使用您的密码,那么他们可以在不征得您许可的情况下保存您的密码吗?

– BooleanCheese
16 Mar 9 '16 at 14:37

@アレックス避免使用密码信任某些软件的唯一方法是永远不要输入密码。通过物理断开计算机与所有网络技术的连接,可以提高安全性,但是您仍然必须担心密码会存储在计算机上(例如您的计算机登录帐户),并且有人可以物理访问。但是,此时,没有理由再需要保护密码了。

– jpmc26
16 Mar 9 '16 at 17:06



@克里斯蒂安:而且(政府演员)不是唯一要担心的事情。集中式密码存储区也容易受到攻击或泄漏,我们无法确定其存储格式是否安全。比较Mozilla的MDN数据库发生了什么。

–贝尔吉
16 Mar 9 '16 at 19:05

#3 楼

除了有关密码管理器的答案外,还有一段时间您还必须考虑不确定性。

以KeePass为例:除了信任审阅代码的人(或信任自己拥有密码)了解自己进行审查的知识),还需要信任二进制文件的提供者(它与广告代码匹配)。或自己重新编译并相信编译器是正确的。而且该操作系统也是受信任的。

这是很多“信任”,并且总是有一段时间您的风险分析宣称它“足够好”。与其他风险相比,您应该寻找的是“足够好”。

我与@Matthew一起使用在线密码管理器:您可以保护自己免受最大可能的风险(被黑客入侵,但由于使用了密码管理器,因此您拥有唯一且较长的密码),而不是Google / NSA / [把您喜欢的组织放在这里]的可能性。如果他们追随您,他们将有更有效的方式来获取您的数据。

#4 楼

您是否使用共享计算机?如果是,或者您的硬盘未加密,那么不能,不允许它保存密码。

我不允许浏览器记住我的密码,但我发现我使用的是密码管理器更轻松。 Firefox(我认为是Chrome)允许但不要求使用主密码,该密码会加密您存储的密码(据我了解,无论是否使用主密码,密码都是加密的,没有什么阻止任何人使用存储的密码密码)。大多数人无法使用主密码功能,我认为这是由于使它成为需要明确寻求的东西。使用Firefox 44.0.2,如果站点知道您的密码,则可以

右键单击密码字段>填写密码>查看保存的登录名>显示密码(同意提示)。

不需要身份验证,并且所有内容均为纯文本。重新命名)>将类型从“密码”更改为“文本”

再次,无需身份验证,并且所有内容均为纯文本。

评论


一些网站开始使用自己的自定义登录表单,而不是HTML字段,对于这些表单,可能无法使用“检查元素”命令。当然,在这种情况下,浏览器通常也无法为您保存密码。

–丹·亨德森(Dan Henderson)
16 Mar 9 '16 at 22:21

@DanHenderson我还没有发现任何此类网站。你能举个例子吗?我使用过的最“锁定”的站点是osap.gov.on.ca/OSAPSecurityWeb/public/login.xhtml?lang=en,该站点也可以解决(按F12键,然后手动查找该密码)实际上,我真的很高兴了解如何制作出您所描述的东西!

– TeckFudge
16-3-9在23:23



记不清了,不是最近才看到的。但是当时,我的印象是这些字段与新型的验证码类似,实际上您不需要键入任何内容,只需选中“我不是机器人”的复选框可以肯定,仅因为“复选框”不是简单的页面元素,而是复杂控件中浏览器无法区分为复选框的区域,才起作用。

–丹·亨德森(Dan Henderson)
16 Mar 10 '16 at 13:27

我还认为该站点已停止使用它,因为移动浏览器也无法分辨出它们是文本输入字段,因此它们永远不会弹出屏幕键盘。

–丹·亨德森(Dan Henderson)
16 Mar 10 '16 at 13:30

输入密码字段仅用于停止肩膀冲浪,除非它们使用外部软件作为登录表单,否则您不能仅关闭元素检查,而复选框capatcha就是饼干/本地存储

– Gilsham
16 Mar 10 '16 at 21:39

#5 楼

对于普通用户而言,似乎有一个合理的折衷方案:让您的网络浏览器保存不太重要的浏览器,然后以更安全的方式保存其余的浏览器。

我在各个站点都有大约100个密码在网上。大概有80个我不在乎有人偷了-最糟糕的是,它们可能会让我看起来像是在Ars Technica或类似机器上的混蛋。网站和密码都没有钱(或微不足道和有限的钱),并且它不是我曾经用于有钱的东西的密码。我让Chrome记住的那些。

我关心的其他〜15-20-信用卡和银行登录信息,我的健康保险网站等-我保存在离线加密密码管理器中。它是脱机的,因此从理论上讲它可能会丢失(尽管我确实在两个单独的设备上安装了它,但是可能发生房屋起火)。但如果绝对必要,则可以(有些困难)恢复所有这些密码。但是,总的来说,它们是安全的,只要不从网站的黑客攻击中恢复密码就可以了(当然,这些密码是唯一的,复杂的密码,即使相对安全,也很安全)。最后,我的电子邮件密码除了存储在我的头上之外,没有存储在其他任何地方。那是因为这是薄弱点-社会工程攻击加上对我电子邮件的访问权限可能使某人可以为其他所有位置恢复/重新创建密码。我使用了足够多的电子邮件,可以安全地记住该密码(如果没有,我当然也有一种恢复方法)。

评论


您怎么知道您的浏览器不会秘密窃取您关心的密码?

–アレックス
16 Mar 9 '16 at 16:02

@アレックス当然可以(尽管我尝试在可能的情况下使用开放源代码浏览器,但这使其可能性降低了)。但是,如其他答案所述,存储密码的浏览器似乎更具风险。

–乔
16 Mar 9 '16 at 16:03

为什么?使用良好的密码管理器,浏览器与内置的“记住我的密码”功能一样好,或者至少差不多好。而且您的密码管理器可能不喜欢分享权力,并不断要求保存密码。您将以牺牲自己的利益来牺牲“垃圾站点”的便利性和安全性。

–本
16 Mar 10 '16 at 17:34

@Ben区别在于云。我的密码管理器处于脱机状态-无法访问云-我必须手动输入密码,这只是一个查找。浏览器记住我的密码在云端;我在任何地方登录的任何Chrome都具有这些功能-代价是安全性较低。

–乔
16 Mar 10 '16 at 17:36

我认为关键是“大概有80个我不会在乎是否有人偷了”,因此最好使用简单的方法在每个网站上允许使用不同的密码,即使它不是100%安全的。

–伊恩·林格罗斯(Ian Ringrose)
16-3-12的12:00

#6 楼

一种折衷办法是将KeePass与Firefox扩展KeeFox结合使用,使您可以自动将KeePass密码库中的密码用于Firefox,而无需通过Firefox实际存储它们。

#7 楼

以这种方式存储的密码非常不安全。只需尝试访问它们,您就会发现输入Windows / Linux用户帐户密码可以访问它们。曾经有并且可能有一些漏洞可以更改Windows / Linux用户帐户密码或cirumvent检查。因此,您永远不要存储诸如在线银行帐户之类的高价值目标的密码,尤其是在工作计算机上。

#8 楼

我不曾见过其他人允许浏览器存储密码的一种说法是,它可以保护您免受网络钓鱼攻击。

Chrome会自动填写您的登录凭据,但是只有在URL正确的情况下,它才会这样做...并且如果网站设计合理,则URL将由证书颁发机构通过HTTPS进行验证。如果您进入登录页面,但Chrome尚未自动填写凭据,则这是值得关注的原因,请仔细检查您的位置是否正确。

#9 楼

这很简单:将密码信任给浏览器,即使出于良好的意图也不是其主要功能,但这始终是一个问题。特别是在浏览器已安装插件或密码存储库本身未使用(强)主密码保护的情况下。

问题有多大?你必须决定。我肯定会让我的私人浏览器将密码存储到不重要的站点,而不是将密码存储到我的银行帐户或个人邮件帐户。许多网上银行实际上使您的浏览器很难/不可能存储密码(通过用一些精心设计的方案替换普通的输入表单,即必须用鼠标点击程式化的数字键盘),这一事实应该告诉您一些信息。

对于KeePass等,这是完全一样的想法,只是将标尺提高了一点。也就是说,如果您确实是偏执狂,也不会使用它们,但是您可以比浏览器“相信”更多。多少钱取决于你。

#10 楼

这里有很多反馈,其中包含一些很好的信息。正如其中一些人所指出的,每当您使用任何软件时,都在对该软件进行一定程度的信任投资。

随着对浏览器的重新使用并使用它们来存储密码,我认为您主要关心的不是浏览器制造商。这些通常是规模较大的组织,在声誉方面进行了大量投资。他们也受到了大量的审查(特别是铬和Firefox)。

真正的威胁来自恶意网站/网页和浏览器插件。因此,我认为要查找的最重要属性之一是浏览器是否允许您为存储的密码设置主密码,以及是否需要在使用存储的密码之前输入该主密码。

特别受到批评的是,Chrome的存储密码没有提供足够的安全性。我相信情况已经有所改善,但这主要是由于公众大声疾呼。

如果您使用的是keepas之类的东西,那么在浏览器中存储密码也没有任何真正的好处。我使用密码管理器,并禁用了用于存储密码的所有浏览器的功能,因为它没有提供任何其他好处。

我发现人们经常误解密码管理器的原因-或强调密码管理器的错误方面。许多人从便利的角度看待它们。他们将启用任何便利选项,而无需考虑对安全性有什么影响,例如,缓存其主密码,允许自动自动填充等。尽管任何类型的密码管理器都可以方便使用,但真正的好处在于减少了复杂性。您需要记住的密码。您只需要记住一个非常复杂而强大的密码,而您想要的是能够在系统填写“真实”密码之前输入主密码的功能。您真的不想要自动输入密码的便利-接受这种不便之处以确保您可以控制。

#11 楼

对于在线登录,您可以使用简单的工具(例如具有良好浏览器集成的Lastpass)以及需要做更多工作的工具(例如Keepass),您必须在其中复制和粘贴登录信息。当您需要每天登录许多站点时,这需要做很多工作。

如果您对Lastpass(或类似工具)的信任度较低,那么仍然可以将其用于不那么重要的网站。

重要的网站-想想贝宝(Paypal),亚马逊(Amazon),易趣(Ebay),丢失帐户可能要花钱,或者使用Gmail或Hotmail这样的邮件帐户,丢失帐户甚至可能是一个更大的问题,因为这可能重置其他网站的登录信息。

更重要的网站:登录游戏论坛,Reddit,无效的Twitter帐户,讨论论坛等。您很有可能可以证明自己是您并收回该帐户,如果运气不好,不。这不是很大的损失。以及您的Reddit帐户是否意味着您的生活,对我来说,我真的不在乎。因此,我将其保存在Lastpass中,但也许您想使其更安全。保留在哪里取决于您。

#12 楼

如果您的密码容易记住*或足够重要**,最好不要将其保存到计算机中(在浏览器中或其他位置),因为如果有人偷了您的计算机,那么实际上您就将密码泄露了。
即使您的密码是加密的,这只是一个延迟机制,幸运的是,没有多少人会拥有破解它的知识/资源,甚至可能只是为了快速赚钱就出售您的计算机。
如果您选择使用密码管理器,利用它:利用所有有效字符生成随机密码,并使其在允许的范围内(尽管4096个字符可能很可笑...)。

*不要使用短密码,太容易暴力破解(10个字符是一个很好的起点)
**例如银行,电子邮件,商店,Facebook(可用于登录其他服务)

评论


为了快速赚钱而将您的计算机出售给确实有足够知识/资源来破解它的人。

–丹·亨德森(Dan Henderson)
16 Mar 9 '16 at 22:23

所以把它们放在哪里?

–アレックス
16 Mar 10 '16 at 9:20



如果您的主密码足够强大,并且存储的密码没有被愚蠢地加密,那么如果有人偷了您的计算机,您将有足够的时间来更改所需的任何密码。如果主密码和加密方法足够强大,那么实际上您甚至根本不需要更改密码。

–本
16 Mar 10 '16 at 17:26

@DanHenderson:我确实考虑过加入。 @ [亚洲字符?]:在您的脑海中。

– Chinoto Vokro
16年3月14日在21:03

@Ben:这就是为什么我提到没有多少人有资源在可行的时间内破解强大的加密技术,也许还没有。我确实同意您的意见,但我希望避免根本存在潜在的漏洞。加密的密码应该只是随机字节,可以编码为允许的任何字符,否则,如果您能记住它们,那么麻烦存储它们又有什么意义呢?

– Chinoto Vokro
16-3-14在21:08



#13 楼

其他用户是最令人担忧的原因。
我不会使用任何密码记忆软件,因为除了将我使用的密码交给他们之外,还有更高的风险有人侵入您的Google帐户(对于例如)并转储所有其他密码。

您可以将密码保存在Chrome中,然后进行配置以将其备份到Google。 。

他们可以直接从您的google帐户的配置文件控制面板中以明文形式访问您所有已保存的密码。

但是,可以通过使用TFA。

我说过,我永远不会使用任何通行证记忆软件,主要是因为这个原因。

评论


因此,基本上,您将针对密码管理器使用常见的“一篮子钱”的说法。许多人对此进行了广泛的讨论(AgileBits,1Password的制造商,在该主题上有一些很好的文章),但是反驳通常归结为没有密码管理器的可能的用户操作:即密码重用,或某种“您可以根据通用基本密码为每个站点找出派生密码”。两者都是保护自己的非常差的方法。因此,您实际上是在安全篮子和不安全篮子之间进行选择。

–本
16 Mar 10 '16 at 17:30

换句话说,您要么信任一群人的程序或服务,这些人就知道您使用密码在安全方面正在做什么;或者您信任使用共享密码的最弱网站的安全性。仍然有一些网站以明文形式存储密码!我选择知道我的密码信任谁。

–本
16 Mar 10 '16 at 17:32

没有人对共享密码一言不发。而且我没有使用它们。对于我注册的每个站点,我都有一个唯一的派生密码,而且不那么容易猜测。更好地信任网站的安全性,信任任何人都不能在整个网站之间关联不同的电子邮件别名,以及信任受2FA保护的电子邮件。比

– Dark_eye
16 Mar 10 '16 at 23:59

直接将您的明文密码交给公司。那是最清晰的“所有鸡蛋放在一个篮子里”的情况。 (输入错误)

– Dark_eye
16 Mar 11 '16 at 0:01

因此...使用仅本地密码管理器,例如KeePass,Password Safe或1Password。派生密码不安全。当1-3泄漏时,计算机将能够找出派生关系。除了该方法的安全性之外,如果您所有的密码都基于相同的派生方法,那么如何在密码遭到破坏时更改密码?

–本
16 Mar 11 '16 at 0:11